|
Parametros rc.segm
O Bloqueador de IP é um utilitário que permite efetuar o bloqueio de IPs em redes Wireless controlados pelos servidores WIP-Control e WIP-Central da Infomatik. Ele foi programado inicialmente para poder desligar temporariamente clientes inadimplentes ou eventualmente IPs que estão causando algum trafego não desejado.
Este sistema de bloqueio pode redirecionado os IPs selecionados para uma página de aviso, explicando o motivo do bloqueio. Ao mesmo tempo o acesso ao seu servidor WEB e/ou E-Mail é possível. Assim ele pode acessar a homepage e enviar e receber ainda e-mail através do seu servidor.
OBSERVAÇÃO: Sugerimos de usar este utilitário para cortar TODOS os IPs não em uso na rede.
O Bloqueador pode ser executado em tempo de execução sem necessidade de reiniciar o servidor ou algum outro serviço. Basta editar a lista de IPs e executar o Bloqueador.
No rc.conf pode ser configurado:
ip_block_enable="YES | NO"
Configurando YES o Bloqueador será executado na próxima reinicialização e para NO ele fica inativo até ser executado manualmente.
Atualmente os servidores WIP-Control e WIP-Central podem controlar até 9 segmentos de rede IP. Independentemente se estes estão ligados somente a uma ou a várias Interfaces de rede local ou wireless.
O administrador precisa saber de:
- nome da NIC (por exemplo xl0)
- a subrede ou segmento (por exemplo 200.1.1.0/24)
- IPs desta rede a serem bloqueados
O Bloqueador atualmente aceita somente formatação do segmento em bits e não com a máscara extensa.
O bloqueador diferencia entre IPs não usados e portanto desligados e IPs de clientes "inadimplentes" ou que devem ser cortados por qualquer outro motivo.
O administrador deve criar um arquivo para cada segmento de rede no qual há IPs para serem bloqueados. Este(s) arquivo(s) não existe(m) na configuração padrão. A nomenclatura para este(s) é:
Podem existir mais de um arquivo por interface de rede caso funcionam subredes e aliases nela.
Basta usar o comando cp (copiar) para criar o primeiro arquivo padrão. Este arquivo DEVE ser editado ou apagado. Não deixe este arquivo existir sem editar ele em seguida corretamente - isto pode causar inacessibilidade total do sistema. O comando:
cp /etc/rc.segm.sample /etc/rc.segm1
gera o primeiro exemplo e pode ser repetido tantas vezes for necessário para gerar os outros arquivos para outros segmentos. Caso o arquivo não existe pode copiar exatamente o conteúdo entre as linhas a seguir e usar como exemplo.
O formato padrão é:
################################################
#!/bin/sh
#rc.segm1 Infomatik (c) rev.1.2.1
home_net="200.152.83.11,200.152.87.0/28"
segm1_nic="xl1"
segm1_net="10.10.10.0/24"
segm1_sem_pag="164,165,169,177"
segm1_sem_uso="163,168,173,178,180,182-190"
################################################
NOVO 09/01/05: O parametro home_net especifica os IPs ou rede que é acessível pelo IP bloqueiado.
Simplesmente edite os valores entre aspas conforme a sua necessidade! Observe as duas formas diferentes:
Você pode separar IPs diferentes com virgula e sem espaço. Você pode definir rangos com traço entre os números sem espaço. Você pode misturar ambas os métodos.
**********************************************************************
VERIFIQUE DUAS VEZES antes de encerrar aqui para não correr o risco
de que o seu servidor fica inacessível!
**********************************************************************
Uma vez terminado execute o comando
# corte
Sem setar o ip_block_enable="YES" no rc.conf. Assim pode verificar antes de deixar a configuração definitiva.
Obs.: Como saber qual interface devo usar? Execute o comando ifconfig para ver os IPs de cada interface.
NOVO 09/01/05: Redirecionamento a uma página de aviso.
O redirecionamento ocorre no próprio WIP-Control com Apache ativado. No diretório principal do servidor WEB (ou o VirtualHost default ) deve existir um documento index.html com o conteúdo de aviso desejado. Observe de que esta página pode conter qualquer código válido de HTML inclusive no header o meta refresh permitindo o redirecionamento para alguma outra página mais complexa ou um cadastro caso desejar, inclusive em outra máquina.
Para que funcione o processo o seu servidor deve ser corretamente configurado para o uso named based virtual hosts. Leia a Documentação do Apache referente virtual Hosts e configure o seu servidor de acordo com a sua necessidade.
Lembre também de que o redirecionamento ocorre para localhost, isso significa de que o primeiro container VirtualHost do seu Apache deve ser configurado corretamente e conter o documento desejado.
A lógica é que o programa ...
- verifica se o IP está na lista de bloqueio temporário
- bloqueia todo qualquer trafego deste IP para endereços não listados no parametro home_net
- redireciona todo trafego tcp na porta 80 para localhost porta 80
- serve a página index.html no WIP-Control para o IP
Observe de que pode ser necessário de reconfigurar o Apache, especialmente em servidores com versões do nosso software anterior a AGO de 2004.
|
